Jump to content
Sign in to follow this  
vbfrickler

RID auf anderen AD-Server übertragen

Recommended Posts

Hallo Forums-Gemeinde,

 

habe folgendes Problem:

 

hatte in meiner windows 2003 - domäne 4 Domänencontroller. nun sind drei davon weggefallen, habe also nur noch einen.

 

U. a. die Rolle PID / Relative ID Master ist auf einem nicht mehr vorhandenen Server. Nun möchte ich diese Rolle auf dem einen noch verbleibenden Server verfügbar machen.

 

Dazu gehe ich auf "Active Directory Users and Computers", klicke in der linken Ansicht mit der rechten Maustaste auf meine Domäne und wähle "Operation Masters" (im Feld "Operation Masters" ist ERROR zu sehen, klar, da der ursprüngliche Pid ja nicht mehr vorhanden ist.

 

Wenn ich nun auf "Change" klicke und den Dialog bestätige, dauert es eine ganze Weile, dann kommt die Fehlermeldung "The transfer of the operation master role cannot be performed because: The requested FSMO operation failed. The current FSMO holder could not be contacted".

 

Ich habe keine Möglichkeit mehr den ursprünglichen FSMO holder nochmal ans Netzwerk anzuschließen.

 

Weis jemand wie es dennoch möglich ist diese Rolle auf meinen verbleibenden Server zu übernehmen?

 

 

Danke,

 

Gruß vbfrickler

Share this post


Link to post

Salve,

 

nun sind drei davon weggefallen

 

war das geplant oder sind die drei DCs gecrasht (was ich nicht hoffe, denn dann stimmt bei euch etwas nicht)?

 

U. a. die Rolle PID

 

Welche FSMO-Rolle war das noch einmal?

 

Weis jemand wie es dennoch möglich ist diese Rolle auf meinen verbleibenden Server zu übernehmen?

 

Der RID-Master ist die Einzigste FSMO-Rolle, die zwingend in der Kommandozeile mit NTDSUTIL von einem anderen DC übernommen werden muss.

 

Siehe im folgenden Artikel ganz unten den Abschnitt "Die FSMO-Rollen offline übernehmen":

 

LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben

Share this post


Link to post

Hi und danke für die Antwort,

 

es ist genaugenommen so dass ich diesen Server gegen einen mit schnellerer Hardware ausgetauscht habe, gecrasht ist mir nichts. Hab ihn im produktiv-Netz erst zum member-server zurückgestuft und nach dem phys. trennen vom Netz per image-zurückspielen wieder zum DC gemacht für testzwecke.

 

Ich will mit diesem Verbleibenden Server aus der Kopie der bestehenden Domäne eine Testdomäne in einem physikalisch getrennten Netz aufbauen (der Server wird nie wieder in die produktiv-Domäne zurück gehen).

 

Auch der ernstfall, worstcase soll so geprobt werden, falls wirklich 3 der 4 produktiv-DCs ausfallen. Dann müssten die User natürlich auch weiterarbeiten können, was momentan nicht der fall wäre aber sinn dieser Konfiguration sein sollte.

 

Es ist mir z.B. nicht möglich einen user anzulegen, da bekomme ich die Fehlermeldung "can not get relative ID" oder so ähnlich. Da die Rolle die diese IDs vergibt auf einem der anderen Server läuft.

 

Es handelt sich um den "Relative ID Master"

 

Schon mal danke für den Link auf deinen Artikel, vielleicht klappts damit...

 

 

Gruß

Share this post


Link to post

Moin,

 

bedenke, dass dein Testlabor, wenn du es auf diese Weise erzeugst, genauso kritisch ist wie die Produktionsumgebung und damit denselben Schutzbedarf hat! Du hast in deinem Labor identische Kopien aller Sicherheitsobjekte der Produktionsumgebung.

 

Gruß, Nils

Share this post


Link to post
...was momentan nicht der fall wäre aber sinn dieser Konfiguration sein sollte.

 

Dann stimmt aber generell "etwas" nicht. Denn für die Benutzeranmeldung werden die FSMO-Rollen nicht benötigt. Für die Benutezranmeldung reicht es aus, wenn ein DC auf dem das DNS läuft erreichbar ist.

 

Es ist mir z.B. nicht möglich einen user anzulegen, da bekomme ich die Fehlermeldung "can not get relative ID" oder so ähnlich. Da die Rolle die diese IDs vergibt auf einem der anderen Server läuft.

 

Ja, für das erstellen eines AD-Objekts wird eine RID benötigt. Doch jeder DC hat einen RID-Pool von 500 RIDs und wenn dieser (ab Windows 2000 SP4) zur Hälfte verbraucht wurde, ordert der DC vom RID-Master einen neuen RID-Pool von 500 RIDs an. Daher sollte ein DC auch wenn mal der RID-Master nicht erreichbar wäre, immer genügend RIDs zur Verfügung haben. Es sei denn natürlich, es findet ein Massenimport oder ähnliches statt. Dann ist es klar, dass wenn der RID-Master nicht erreichbar wäre das Erstellen der Objekte fehlschlägt.

 

Siehe auch:

 

LDAP://Yusufs.Directory.Blog/ - Der RID-Master und sein RID-Pool

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...